.htaccess Schutz klappt ums Verrecken nicht

[jahlives]

Für mich als DAU erscheint Möglichkeit 1 die einfachste zu sein.
Wie kan ich in der htaccess dann jeglichen Zugriff auf das Verzeichnis verweigern?

Leg dir in Vezeichnis mit der passwd Datei eine .htaccess Datei mit folgendem Inhalt

[FONT=monospace]
[/FONT]order deny[COLOR=#339933],[/COLOR]allow	[COLOR=#666666][I][/I][/COLOR][FONT=monospace]
[/FONT]deny from all

Das sollte helfen

 

[genesis]

Hallo Gemeinde,
will kein neues Thema aufmachen darum stelle ich hier meine Frage zu .htaccess, was bei mir nich richtig funktioniert.

Die Seite "Blog" soll nur mit Eingabe "Benutzernamen" und "Passwort" erreicht werden können, wie ja schon viele vor mir den Wunsch hatten. Aber leider geht die Abfrage schon bei der Seite "Photo" los und funktioniert auch nicht, da sie immer wieder kommt und mich nicht rein lässt.

Großes ?

Als Anhang die Pfade in der sich die .htaccess befinden und der code dazu.


Tipp? Sehe den Wald vor lauter Bäume nicht mehr.

Danke.

 

[jahlives]

Hast du geprüft, dass der Webserver die .htaccess Datei auch lesen darf? Schau dir mal die Rechte an

 

[genesis]

Hast du geprüft, dass der Webserver die .htaccess Datei auch lesen darf? Schau dir mal die Rechte an

? wo kann ich das sehen ? sorry wenn der Groschen nicht sofort fällt.

 

[jahlives]

z.B. mit der Filestation oder direkt auf der Konsole. Oder - wenn ich das richtig sehe verwendest du itaris admin Tool - dann sollte es auch dort eine Webshell geben.
Aber eigentlich kann es nicht das Problem sein bei dir. Die .htaccess wird ja anscheinend abgearbeitet, nur die PW-Abfrage kommt ständig. Also solltest du zuerst mal die Rechte der PW-Datei prüfen. Die muss für den Benutzer nobody, unter dem der Webserver läuft, lesbar sein.

 

[genesis]

z.B. mit der Filestation oder direkt auf der Konsole. Oder - wenn ich das richtig sehe verwendest du itaris admin Tool - dann sollte es auch dort eine Webshell geben.
Aber eigentlich kann es nicht das Problem sein bei dir. Die .htaccess wird ja anscheinend abgearbeitet, nur die PW-Abfrage kommt ständig. Also solltest du zuerst mal die Rechte der PW-Datei prüfen. Die muss für den Benutzer nobody, unter dem der Webserver läuft, lesbar sein.

Nicht steinigen, aber.........bitte wo finde ich das ?

 

[jahlives]

Nicht steinigen, aber.........bitte wo finde ich das ?

Hier wird niemand gesteinigt, wir machen das ganz zivilisiert und knüppeln mit der dicken Keule
Ich dachte anhand deines Screenshots, dass du itaris admin Tool verwenden würdest. Woher kommt denn der Screenshot bei dir?
Die Filestation ist hingegen Bestandteil der Firmware und muss nur noch via DSM (Diskstation-Manager) aktiviert werden. Dann kannst du via Browser eine Dateiverwaltung auf der DS erreichen (wenn ich mich recht entsinne, dann auf Port 7000 resp 7001). Die sollte dir die Dateirechte anzeigen.
Oder auch ein FTP Client kann die Rechte anzeigen (FTP muss man aber ebenfalls erst im DSM aktivieren)
Die Konsole, damit ist der Zugriff via telnet oder ssh gemeint. Mehr dazu findest du in unserem Wiki.
Falls du aber doch das Tool von itari bereits benutzt, dann sollte es irgendwo einen Punkt "Webshell" oder so ähnlich geben

 

[genesis]

Hallo jahlives ,
sry hat etwas gedauert, musste noch meinen jüngsten ins Bett bringen.

Die Screenshots mache ich mit "Gadwin Printscreen 4.4" geht super von Vollbild bis Auswahlbereich mit Maus.
Die Filestation ist OK, es ist auch soweit alles eingerichtet dass ich über https von außen rannkomme. FTP-Service ist auch aktiviert.
Und ja, ich benutze Itaris "admin Tool" , tolle Sache. Ich schau mal ob ich den Punkt "Webshell" finde.

 

[jahlives]

Und ja, ich benutze Itaris "admin Tool" , tolle Sache. Ich schau mal ob ich den Punkt "Webshell" finde.

Zeigt dir denn das Tool nicht gleich die Rechte der Dateien/Verzeichnisse im Browser an?

 

[genesis]

Zeigt dir denn das Tool nicht gleich die Rechte der Dateien/Verzeichnisse im Browser an?

hab es erst Gestern geladen, kenn mich noch nicht so gut damit aus.

Bildchen:

 

[jahlives]

Dann geh doch via die Filestation. Wichtig wären die Rechte deiner .htpasswd Datei

 

[genesis]

Hallo jahlives,
vielen Dank für deine Mühe, aber lassen wir es für heute. Mache nun schon den zweiten Tag an der Sache rum und komme leider nicht weiter.

 

[jahlives]

Hallo jahlives,
vielen Dank für deine Mühe, aber lassen wir es für heute. Mache nun schon den zweiten Tag an der Sache rum und komme leider nicht weiter.

Notfalls könntest du ssh aktivieren (im Diskstationmanager unter Terminal) und mit einem Tool wie Putty auf die Shell zugreifen. Dazu müsstest du dich als User root mit dem PW des admins (also für den DSM Zugang) anmelden und dir die Rechte der Datei direkt anschauen. Ich bin mir fast sicher, dass der Webserver die .htpasswd ned lesen darf

 

[genesis]

Wenn es so sein sollte, muss ich noch viel lernen. Ich gebe aber nicht auf.
Wie geht der Spruch noch:

"Wir werden es dem Programm schon zeigen"

 

[jahlives]

"Wir werden es dem Programm schon zeigen"

Pass aber auf, dass dir das Programm ned sagt wo es langgeht

 

[genesis]

Pass aber auf, dass dir das Programm ned sagt wo es langgeht

Jaaaaaaaaaaaaaaa,
es geht,aber mit einem kleinen "Problem" . Melde ich mich nun im Blog an, verlasse die Seite und gehe etwas später wieder in den Blog, kommt die Passwortabfrage nicht mehr.

Welche Zeile müsste ich noch in die .htaccess einfügen daß die Abfrage immer kommt bei betreten der Blogseite?
__________________

 

[jahlives]

Jaaaaaaaaaaaaaaa,
es geht,aber mit einem kleinen "Problem" . Melde ich mich nun im Blog an, verlasse die Seite und gehe etwas später wieder in den Blog, kommt die Passwortabfrage nicht mehr.

Welche Zeile müsste ich noch in die .htaccess einfügen daß die Abfrage immer kommt bei betreten der Blogseite?

Der Webserver cached das Ergebnis des Logins ein Weilchen. Wenn du also kurz darauf wieder kommst, dann musst du dich nicht erneut authentifizieren. Log dich mal mit Browser A ein, starte Browser B und greif mit Browser B auf den Blog zu. Browser B müsste dann auf jeden Fall die PW-Abfrage wieder vorgesetzt bekommen